Ролевая модель – теперь это просто

Генеральный директор компании Аванпост Андрей Конусов отметил, что главной проблемой в деле внедрения системы идентификации и управления доступом к информационным ресурсам предприятия (IDM) является этап создания ролевой модели, связывающей должности сотрудников с их правами в информационных системах. Между тем это основа любого внедрения такой системы.

На сегодняшний день статистика такова: в крупных организациях число неучтенных записей – «мёртвых душ» достигает 5% от общей численности сотрудников. А это, как известно, существенный риск потери информации из-за возможности несанкционированного доступа. Отслеживание прав – дело кропотливое, потому что, во-первых, развиваются ИТ-системы, появляются новые, во-вторых, на работу принимаются новые сотрудники, некоторые увольняются, некоторые перемещаются внутри организации, занимают новые должности. Должностные инструкции и регламент бизнес-процессов также пересматриваются, формируются и распускаются рабочие группы, и так далее.

Если организация решается на внедрение IDM, как правило, для создания ролевой модели приглашаются сторонние консультанты. Формирование модели обычно длится много месяцев, а иногда и целый год, так как для этого приходится изучать инструкции, опрашивать менеджеров разного уровня, кадровиков, ИТ-администраторов. Затем собранные сведения сводятся в единую систему. Чтобы устранить выявленные противоречия проводятся новые консультации, и т.д. Но этим всё не заканчивается – сформированную модель требуется утвердить у руководства. Это руководители ключевых подразделений, ИТ-дирекция, служба безопасности. Взгляды этих людей на распределение прав сильно различаются. Практически никто не хочет принимать модель в виде «как есть» - на конкретный момент времени. Поэтому происходит ее оптимизация «на лету». Как итог – согласование растягивается на долгие месяцы, за которые реальная картина распределения прав существенно меняется. То есть еще до финального утверждения ролевая модель устаревает.

Однако не всё так плохо. При соблюдении ряда рекомендаций внедрение IDM всё-таки может стать успешным. Условия таковы. Ролевую модель следует создавать не на всём огромном предприятии разом, а на уровне конкретных подразделений, там же и утверждать. Созданные модели принимать «как есть», а оптимизацию проводить уже после внедрения. Не экономить на консультантах: разработку общей ролевой модели расчленить на параллельно выполняемые блоки. Понятно, что это потребует большего количества консультантов. Однако, по словам Андрея Конусова, польза от внедрения IDM все-таки меньше теоретически возможной.

Новый продукт компании Аванпост – Avanpost Role Manager & Analytics является решением, описанной выше, проблемы. Это надстройка модуля Avanpost IDM, автоматизирующая процесс создания ролевой модели. Теперь без необходимости стороннего консалтинга компания может за минуты получить рекомендованную матрицу доступа.

В основу этой разработки заложен математический аппарат на базе статистического анализа. После установки ядра IDM системы с модулем Role Manager & Analytics осуществляется ее интеграция с кадровой базой и со всеми целевыми ИТ-системами с помощью коннекторов. После этого включается режим сбора информации об имеющихся ИТ-системах и реальных правах доступа. Происходит формирование единой базы всех имеющихся учетных записей и прав доступа. Это полная и точная картина прав, фактически сложившейся в конкретной организации. Далее запускается аналитическая обработка полученной базы с помощью модуля Role Manager & Analytics, формируется базовая ролевая модель и набор исключений. Исключениями называют фактические права, не вписывающихся в предлагаемую ролевую модель. Модель оптимизируется – если роли совпадают, право доступа прописывается единое. Иногда за счет такой оптимизации удается «схлопнуть» ролевую модель на порядок.

Наконец, система переводится в нормальный рабочий режим. При этом происходит заключительный анализ всех оставленных исключений и в случае необходимости базовая ролевая модель дорабатывается в ручном режиме. Согласования такая модель не требует, так как над ее созданием не работали сторонние люди, а потому она вызывает у руководства необходимую степень доверия.

После перехода в рабочий режим и окончательной доводки ролевой модели IDM – система переходит в режим аудита. С этого момента все дальнейшие кадровые события воздействуют на настройки прав пользователей уже в точном соответствии с  построенной ролевой моделью.

Андрей Конусов подчеркнул, что с появлением Avanpost Role Manager устранено основное препятствие к успешному внедрению систем IDM. «Сегодня огромное число организаций нуждается в этих системах. Уже в этом году мы увидим значительное расширение отечественного рынка IDM», - сказал Андрей Конусов. По его словам, существующие и вновь внедряемые системы управления доступом вместе с надстройкой Avanpost Role Manager смогут, наконец, работать на максимуме возможностей, повышая степень защищенности организаций.

Конкурентное преимущество новой разработки: впервые полнофункциональный инструментарий построения ролевых моделей встроен непосредственно в IDM-решение. Во-вторых, это цена, а также то, что продукт разработали отечественные специалисты, которые хорошо знают отечественный рынок программного обеспечения для того, чтобы снабдить решение необходимыми коннекторами.